**攻击者代码**:
php
**脚本端**:
js
获取到 cookie 后,用 firebug 找到 cookie,新建 cookie加入 cookie,用 referer 来提交,无需输入帐号密码直接登录进去!
**预防手段**:
1.对前端输入做过滤和编码:
比如只允许输入指定类型的字符,比如电话号格式,注册用户名限制等,输入检查需要在服务器端完成,在前端完成的限制是容易绕过的;对特殊字符进行过滤和转义;
2.对输出做过滤和编码:在变量值输出到前端的 HTML 时进行编码和转义;
3.给关键 cookie 使用 http-only,这样js 脚本将无法读取到cookie 信息,这样能有效的防止 XSS 攻击
发布者:admin,如若转载,请注明出处:https://ai1024.vip/38178.html
admin 
